实验10 服务器认证个人机与网站之间信息的加密传输.docx

实验10 服务器认证个人机与网站之间信息的加密传输.docx

《实验10 服务器认证个人机与网站之间信息的加密传输.docx》由会员分享，可在线阅读，更多相关《实验10 服务器认证个人机与网站之间信息的加密传输.docx（29页珍藏版）》请在冰豆网上搜索。

实验10服务器认证个人机与网站之间信息的加密传输

实验10服务器认证—个人机与网站之间信息的加密传输

实验十服务器认证——个人机与网站之间信息的加密传输

一、背景知识

服务器证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。

通过提交数字证书来证明您的身份或表明您有权访问在线服务。

服务器证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是真实可靠的，服务器证书广泛应用于电子支付、网上证券等对信息安全要求很高的场合

服务器身份证书中包含服务器信息、公钥及签名，在网络通讯中标识和验证服务器的身份。

在网络应用系统中，服务器软件利用证书机制保证与其他服务器或客户端通信的安全性。

服务器身份证书可以存贮在软盘、硬盘、IC卡中。

服务器证书是WebServer与用户浏览器之间建立安全连接时所使用的数字证书。

服务器申请了证书并装载成功，进行相关的配置后，即可与用户浏览器建立安全连接。

可以要求浏览器客户端拥有数字证书，建立通信时WebServer和浏览器交换证书，验证对方身份后建立安全连接通道。

SSL协议的工作过程如下：

1）客户机（你上网用的电脑）向服务器提出访问要求，比如，你要访问一个安全网站，必须输入对方的网址。

2）服务器向客户机发出包含服务器公钥的证书。

3）客户机自动验证服务器的证书，如果该证书不在客户机上，则浏览器会提示安全风险。

也就是说，如果你愿意访问该网站，你选择确认即可。

4）客户机的浏览器自动生成一个对称密钥，用服务器的公钥加密后，发送到服务器，服务器用私钥解密，从而获得客户机的对称密钥。

5）此时，客户机与服务器之间的所有交换数据都会用对称密钥自动加密，并且送到对方后会自动解密，从而保证了信息的保密性。

以上过程实际上也是数字信封的整个过程，SSL协议完成了数据传输的加密及服务器身份的认定，但是没有进行客户机的数字签名。

SSL认证的具体过程请参看本书第五章服务器认证。

由于网站服务器采用的技术不同，因此就会有不同的服务器证书模式，常见的网站服务器技术有：

Apache服务器

　微软windows2000IIS服务器

Domino服务器

　iPlanet服务器

　IBMHTTPServer服务器

　WebLogic_SunSolaris服务器

NetscapeEnterpriseServer服务器

Javawebserver服务器　

O'ReillyWebsiteProfessionalServer服务器

StrongholdWebserver服务器

本实验以WINDOWS2000SERVER版操作系统、IIS10.0为例，重点介绍服务器认证的具体操作过程。

二、实验目的及要求

1、了解服务器认证的原理，掌握网站加密信息传输的设置方法。

三、实验准备

1、Windows2000操作系统+IIS

2、IE10.0以上浏览器

3、已经制作好的网页，如实验四的制作结果。

四、实验过程

1、由于本实验的基础是实验五，即专用主机网站的设置，因此，首先检查一下IIS的相关设置。

在开始前，首先要安装并配置好IIS10.0，通常情况下，WINDOWS2000是自动安装IIS的，具体配置因服务器的用途而不同，我们这里假设网站主目录在d:

\www\800119，网页首页文件名为default.htm。

配置方法如下：

开始→程序→管理工具→Internet服务管理器，在默认WEB站点上单击右键，选择属性，单击主目录，将主目录改为d:

\www\800119，其他配置不动，点击确定退出。

如图10.1图10.2所示。

为了测试服务器有没有配置成功，有以下三种方法：

在浏览器地址栏中，输入：

1localhost

2IP地址

3eb（本机名，不同的服务器会有所不同）

如果设置正确，则可以顺利打开网站。

图10.1IIS配置

图10.2配置站点属性

2、WEB服务器证书申请请求文件（CSR）产生

1）依次点击：

开始→程序→管理工具→Internet服务管理器，如图10.3所示。

图10.3打开IIS配置窗口

2）用鼠标右键单击默认WEB站点，并在弹出菜单中选择属性，如图10.4所示。

图10.4属性窗口

3）在默认WEB站点属性窗口选择目录安全性，如图10.5所示。

图10.5目录安全性选项

4）安全通信栏目中用鼠标点击服务器证书，出现WEB服务器证书向导，如图10.6所示。

图10.6服务器证书向导

5）用鼠标单击下一步，选择创建一个新证书，开始证书请求向导，如图10.7所示。

图10.7新建证书

6）选择产生请求文件，不直接发送，因为我们稍后会将请求文件内容上传到相关数字证书认证中心，如图10.8所示。

图10.8选择稍后发送

7）以下根据提示按照您的WEB服务器的实际信息输入注意：

选择1024位密钥长度，如图10.9、图10.10、图10.11、图10.12、图10.13所示。

图10.9证书选项之一

图10.10证书选项之二

图10.11证书选项之三

图10.12证书选项之四

图10.13证书选项之五

8）确认证书请求文件（CSR）保存位置，如图10.14、图10.15、图10.16所示，并依次点击确认。

图10.14确定证书请求文件位置及文件名

图10.15请求文件摘要

图10.16完成证书请求文件

9）完成证书申请请求，请求文件为certreq.txt，用记事簿打开，具体格式如图10.17所示。

图10.17证书请求文件内容

3、WEB服务器证书在线申请

1）深圳电子商务认证中心服务器试用证书申请。

（1）登录到，如图10.18所示。

图10.18深圳电子证书认证中心首页

（2）系统提示安装根证书，点击确认即可，如图10.19、图10.20所示。

图10.19安全警告

图10.20安装根证书

（3）点击免费证书，如图10.21所示。

图10.21免费证书

（4）点击“申请免费的服务器测试证书”，并填写相应选项，注意，该部分的相关内容和10.1中的服务器相关内容一致，如图10.22、图10.23所示。

图10.22申请免费服务器证书

图10.23填写申请表

（5）注意粘贴文件，就是刚才存放的c:

\certraq.txt，将其中的所有内容全部复制，并粘贴到文本框中，如图10.24所示。

图10.24粘贴证书请求文件

（6）下载服务器证书，存放到本机硬盘，这里我们将服务器证书存放到d:

\servercert.cer，文件名是深圳CA自动命名的，不要修改。

依次完成相关操作，如图10.23、图10.24、图10.25、图10.26所示。

图10.25下载证书

图10.26设置证书保存路径

图10.27设置证书文件名

图10.28证书下载中

4、WEB服务器证书的安装

1）依次点击：

开始→程序→管理工具→Internet服务管理器，如图10.29所示。

图10.29IIS属性窗口之一

2）鼠标右键单击默认WEB站点，并在弹出菜单中选择属性，如图10.30所示。

图10.30属性窗口之二

3）在默认WEB站点的属性窗口选择目录安全性，如图10.31所示。

图10.31属性窗口之三

4）在“安全通信”栏目中用鼠标点击“服务器证书”，出现WEB服务器证书向导，如图10.32、图10.33所示。

图10.32证书安装向导

图10.33处理证书安装请求

5）找到刚才下载的服务器证书，即d:

\servercert.cer，并依次点击，如图10.34、图10.35、图10.36所示。

图10.34输入证书路径及文件名

图10.35证书摘要

图10.36证书安装完成

6）此时，您可以通过单击安全通信栏中的查看证书查看证书的详细信息，如图10.37所示。

图10.37证书信息

7）重启IIS服务，或者重新启动计算机，此时，SSL服务已经启动了，现在可以通过浏览器以HTTPS方式访问您的WEB站点了。

这里我们浏览的是服务器上的一个测试网站，由于本机默认IP地址为127.0.0.1，因此，我们键入：

https:

//127.0.0.1，结果如图10.38所示。

注意，服务器认证是否生效关键是看用HTTPS协议能否打开服务器上的网站，如果能打开，说明一切正常，否则，可能某个环节出现了问题。

图10.39是另外一个例子，这是网上银行的一个典型页面，注意协议及窗口最下面一行的锁的标记。

图10.38证书测试之一

图10.39证书测试之二

说明：

1、除了可以在深圳电子商务认证中心下载试用证书外，还可以在广东电子商务认证中心下载。

2、试用的数字证书有时会有些问题，如过期、失效，此时查看证书时会有一个警示，不过一般不会影响测试。

五．练习与思考

1、如何进行WEB服务器证书的安全设置？

2、如何进行WEB服务器证书的备份与恢复？

3、在哪些情况下需要用到WEB服务器证书？

它会影响系统效率吗？

4、在其它电子商务认证中心网站申请免费的服务器证书，并进行同样的操作。